Der Umstieg von iPv4 ist notwendig - Dabei sind jedoch Sicherheitsrisken zu bedenken - Strategisches Vorgehen ist gefragt
Das neue Internet Protokoll IPv6 ist gar nicht so neu. Bereits im Dezember 1998 wurde der Standard als RFC 2460 vom Kanadier Stephen Deering, damals Cisco, und dem US-Amerikaner Bob Hinden (Nokia) veröffentlicht. Zu dieser Zeit fürchtete sich die digitale Welt noch vor dem Y2K-Bug. Und die Ingenieure sahen den Vorrat an IPv4-Adressen zur Neige gehen.
Knappheit drängt zum Handel
Erstaunlicher Weise nutzen wir noch heute vorwiegend IPv4-Adressen. Sie sind zwar inzwischen schon ziemlich knapp, haben aber länger vorgehalten, als damals erwartet. Inzwischen werden die IPv4-Adressen sogar gehandelt. Der genaue Zeitpunkt des Zwangs zum Umstieg auf IPv6 lässt sich nicht vorhersagen. Denn die vorhandenen IPv4-Adressen werden durch verstärkten Einsatz von NAT (Network Adress Translation) immer häufiger mehrfach genutzt.
Neue Sicherheitsrisiken
Manche Softwarehersteller haben die Zeit genutzt, ihre Programme auf
IPv6 vorzubereiten. Andere weniger. Und das kann neue Sicherheitslücken schaffen - oder bereits geschaffen haben. Denn IPv6 schleicht sich bisweilen unbemerkt ein.
"Es mangelt der gesamten IT-Landschaft noch an Erfahrung mit IPv6", sagte Otmar Lendl, Teamleiter des österreichischen CERT.at, im Gespräch mit dem WebStandard, "Es hat Jahre gedauert, bis das Verhalten von IPv4, insbesondere in Ausnahmesituationen, richtig verstanden wurde. Und bis die Standard-Einstellungen diverser Software entsprechend eingestellt wurden." Bei IPv6 müssen solche Erfahrungen erst gemacht werden.
Problem: Verkettung
Dazu gehört auch die Erfahrung, dass die Einführung von IPv6 in einem lokalen Netz (LAN) kein zufälliges Stückwerk sein sollte. Wird zum Beispiel die Internet Anbindung auf IPv6 aufgerüstet und ein entsprechender Router installiert, müssen auch andere Systeme getestet und womöglich aktualisiert werden. "Selbst wenn nun der Router v6 kann, heißt das noch lange nicht, dass die Firewall auch IPv6 richtig versteht, oder das Intrusion Detection System (IDS), das Monitoring System oder der Loadbalancer IPv6 interpretieren kann", führte CERT.at-Sicherheitsanalytiker Aaron Kaplan aus, "Sonst kann es beispielsweise leicht passieren, dass das für IPv4 gut abgesicherte LAN der gesamten IPv6-Welt offen steht."
Wo ist die Werbung geblieben?
Ein anderes Beispiel: Einige Unternehmen verwenden Geolocation-Datenbanken, die erkennen sollen, welcher Örtlichkeit eine IP-Adresse zugeordnet ist. Davon wird die Reaktion bestimmter Programme abgeleitet. Wie gut das in der Praxis mit IPv6 funktionieren wird, muss sich erst zeigen.
Wer gegenwärtig mit einer reinen IPv6-Verbindung online geht, wird relativ wenig Werbung zu sehen bekommen. Die großen Werbe-Verteiler sind auf IPv6 noch nicht eingestellt und habe zudem Probleme mit der Ortung der Zielobjekte. Diese ist aber ein wichtiger Faktor für die Reduktion von Streuverlusten.
Noch nicht ausgereift
Doch nicht nur die Konfiguration der Software von IPv6 ist ein Faktor für die Sicherheit von IT-Systemen. Auch der Reifegrad der Programme selbst ist von Bedeutung. "IPv4 wurde über Jahre verwendet und damit getestet. Bugs wurden erkannt, gepatcht und systematisch behoben", so Kaplan, "IPv6 ist ebenfalls komplex, aber noch lange nicht so gut 'getestet'. Das bedingt, dass wir eine ganze Menge unentdeckter Fehler in IPv6 Software haben."
Viele Software-Anbieter versuchen, den Übergang zu erleichtern. So genannte "Tunnel" stellen eine Verbindung zwischen IPv4- und IPv6 -Welt her. Dieses Feature kann aber schnell zum Bug mutieren. Windows 7 unterstützt von Haus aus das Teredo Tunnel-Protokoll und wird standardmäßig mit aktivierter IPv6-Fähigkeit ausgeliefert. Teredo gibt selbst Computern in einem LAN mit NAT eine öffentliche, weltweit routbare IPv6-Adresse. "Dabei werden Tunnel nach außen aufgebaut, ohne dass Benutzer oder Netzadministrator davon wissen", warnte Kaplan, "Zum Teil verkündet dieser Tunnelendpunkt dann die IPv6 Verbindung im LAN, woraufhin alle IPv6-fähigen Geräte von außen erreichbar sein können."
Systematische Vorgehensweise empfohlen
Das CERT.at empfiehlt, bei der Einführung von IPv6 systematisch vorzugehen. "Unternehmen werden um die Einführung von IPv6 nicht herumkommen. Je früher IPv6 im Einkauf und der Netzwerkplanung berücksichtigt wird, umso mehr Zeit bleibt für Tests", erinnerte Lendl, "Die Schwachstellen sollen ja möglichst vorab gefunden werden. Denn was hilft die beste IPv4 Firewall, wenn man über IPv6 an ihr vorbeimarschieren kann?"
Übrigens: In ausgewählten Gebäuden in Österreich (Wien, Linz, Salzburg, Graz, Klagenfurt, Innsbruck) sowie in Pressburg gibt es für Businesskunden kostenlose IPv6-Internetzugänge auf Glasfaserbasis (100 MBit/s). Dies ist eine Aktion des ISP next layer mit Unterstützung der Österreichischen Forschungsförderungsgesellschaft. Siehe dazu: www.time4ipv6.at
Pionierarbeit
Österreichs Pionier in Sachen IPv6-Anbindung war Ende der 1990er-Jahre ATnet von weiland Franz Penz. ATnet wurde von EUnet, EUnet von eTel und eTel schließlich von der Telekom Austria (heute A1) übernommen. Auf diesem holprigen Weg ist IPv6 wieder verloren gegangen. A1 bietet bis heute keine nativen IPv6-Internetzugänge an, weder im Festnetz noch mobil.
Die Wayback Machine des Internet Archive fertigte rund um die Übernahme ATnets durch EUnet mehrere Snapshots der ATnet-Website an. Hilfs dieses mächtigen Werkzeugs vermag sich der geneigte Internet-Historiker einen Einblick in den österreichischen Stand der IPv6-Dinge Anno 2004 zu verschaffen. (Daniel AJ Sokolov, derStandard.at, 18.9.2011)
